Изкуственият интелект навлезе “вероломно” в разработката на софтуер. И ако това, като цяло, носи повече ползи, отколкото вреди, какво да кажем за сценария, при който AI пише експлойти за хакване на софтуерни системи и приложения?
Изследователят по киберсигурност Мохан Педхапати описа как, използвайки AI модела Anthropic Claude Opus 4.6, е написал пълна верига от експлойти, за да хакне JavaScript енджина V8 на браузъра Chrome 138, който управлява текущия Discord клиент.
Процесът на писане на веригата от експлойти е отнел седмица, според изследователя. Той е похарчил 2,3 милиарда токена, което коства 2283 долара за достъп до AI модела чрез API.
Мохан Педхапати също така е допринесъл със собствените си усилия в хакерската разработка, като е прекарал общо 20 часа в решаване на “безизходни“ ситуации.
Цената на създаването на хака изглежда значителна за “самотен вълк”, призна Педхапати. От друга страна, подобен проект би отнел няколко седмици без външна помощ.
Проектът се оказва икономически печеливш – наградата от Google и Discord за докладване на подобен експлойт може да достигне 15 000 долара. И това е само за “бяло” хакерство – а киберпрестъпниците биха могли да изкопчат различна цена, ако подходят злонамерено.
Всеки начинаещ програмист, посочва Мохан Педхапати, с достатъчно търпение и API ключ за достъп до AI модел, може да хакне незакърпен софтуер – „това е въпрос на време, а не на вероятност“.
Освен това, „всяка кръпка е по същество улика за експлойт“, защото проектите с отворен код се разработват прозрачно, което означава, че корекциите често са публично достъпни в кода, дори преди да бъде пусната пълна актуализация.
За да бъдат защитени приложенията от подобни атаки, експертът препоръчва по-внимателно наблюдение на зависимостите и своевременно внедряване на промените, както и автоматично пускане на кръпки за сигурност – така ще се предотврати уязвимостта на потребителския софтуер, ако дадена актуализация просто бъде забравена.
И накрая, хората зад проектите с отворен код трябва да бъдат внимателни, когато публикуват подробни данни за уязвимостите.
